Responsable du Système de Management de la Sécurité de l'Information H/F - Centre D'acces Securise aux Donnees

- Pilotage de la gouvernance des systèmes de management de la sécurité et de la protection de l'information

- Pilotage de la gouvernance du SMSI/PIMS/HDS : Préparation, animation et rédaction des comptes rendus des revues opérationnelles et stratégiques liées à la sécurité et à la confidentialité ; tenue des éléments de preuves requis ; suivi et mise en oeuvre du plan d'action, des mesures et des indicateurs de performance des systèmes ;
- Identification, analyse et traitement des risques via la méthode EBIOS RM mise en oeuvre par le CASD ; mise à jour de l'analyse de risque et l'implémentation de ses cycles stratégiques et opérationnels
- Adaptation et mise à jour des politiques et des procédures liées à la sécurité et à la confidentialité de l'information
- Gestion, suivi et mises à jour du Plan de Continuité et de Reprise d'Activité (PCA / PRA), du Bilan d'Impact sur les Activités (BIA), organisation d'exercices de crise
- Suivi et reporting des incidents de sécurité et de confidentialité, identification et proposition des mesures à mettre en oeuvre afin d'en limiter la portée et/ou l'occurrence
- Préparation et animation de séances de sensibilisation aux bonnes pratiques, aux politiques et aux procédures en vigueur en matière de sécurité ; planification de séances de formation
- Soutien et assistance à la direction, aux responsables de services et aux pilotes de processus sur les aspects relevant du portefeuille, y compris en cas d'audit ou de contrôle ; contribution aux éventuels échanges avec les parties prenantes du CASD concernant la sécurité et la confidentialité de l'information (membres du GIP, partenaires, déposants de données, utilisateurs, clients actuels et prospects)
- Contribution à la mise en place d'un système de management intégré (SMI).

- Conformité aux référentiels

- Contrôle de la conformité aux référentiels ISO 27001, ISO 27701, Hébergeur de Données de Santé (HDS) et Europrivacy (RGPD) et mise à jour de la démarche, des processus et des documents
- Elaboration des plans d'audits de surveillance planification des audits, préparation, participation, débriefing, mise à jour du plan d'action et mise en oeuvre des mesures correctives
- Assistance au DPO sur l'application du RGPD : registre de traitement, application des durées de conservation, analyse d'impact relative à la protection des données, réponse à l'exercice des droits des personnes concernées

- Amélioration continue

- Suivi et traitement des opportunités d'amélioration identifiées, évaluation et surveillance des mesures mises en place
- Identification et suivi des évolutions du contexte susceptibles d'avoir un impact sur les systèmes de management ou l'activité du CASD
- Etre force de proposition dans la mise en place d'outils de pilotage et de suivi de la démarche, visant à son industrialisation et à des gains de productivité / efficience
- Structuration des processus métiers, intégration de la sécurité et de la confidentialité dans les activités de la structure et les services proposés aux clients

Le/La titulaire du poste sera placé(e) sous l'autorité hiérarchique du Directeur. Il/Elle l'assistera dans la gouvernance de la sécurité et de la confidentialité de l'information et travaillera en étroite collaboration avec les autres membres de la direction, les pilotes de processus métiers, la DPO, la Chargée de méthodes, procédures et qualité des processus ou encore le Responsable de l'équipe R&D. Il/Elle sera également amené(e) à intervenir auprès de l'ensemble des collaborateurs et sera en contact avec certains prestataires (auditeurs, organismes de formations, etc.) et parties prenantes du CASD (membres du GIP, partenaires, déposants de données, utilisateurs, clients actuels et prospects, etc.)

Pour la gestion et le partage des documents de travail et éléments de preuves, le CASD a mis en place et administre un explorateur de fichiers dont l'arborescence et les ACL sont guidés par les principes de minimisation des risques, de garantie de la sécurité et de la confidentialité des informations, et du besoin d'en connaître ; dont le/la titulaire du poste fera partie des garants.

Le CASD attend une personne rapidement opérationnelle et disposant d'une excellente capacité d'adaptation.

Qualités attendues

- Expérience dans le management de systèmes d'informations et/ou la cybersécurité
- Connaissance de la norme ISO 27001 et de son application requise (notamment s'agissant du pilotage de la conformité et de l'amélioration continue)
- Bon niveau d'anglais (lecture de documents techniques, veille, normes)
- Grande rigueur, autonomie, sens des responsabilités, capacités à fédérer et à travailler en équipe
- Excellentes qualités techniques, rédactionnelles et organisationnelles nécessaires
- Très bonne capacité à planifier, organiser et piloter des projets stratégiques en cybersécurité
- Compte tenu des missions, le/la titulaire du poste doit avoir d'excellente qualités relationnelles, notamment dans le cadre de son rôle de conseil et d'expertise interne et externe
- La démarche qualité impliquera une vision transversale du fonctionnement du CASD sur tous ses aspects (gestion, informatique, statistiques), nécessitant donc une certaine polyvalence et un fort esprit de synthèse
- Le CASD attend une personne rapidement opérationnelle et disposant d'une excellente capacité d'adaptation

Formation et expériences

- Formation supérieure (Bac +5, ingénieur ou Master 2) dans le domaine des Systèmes d'information/Management de projet/Cyber Sécurité
- Une expérience significative dans le domaine de la sécurité, la certification ou le management de systèmes d'information, si possible en consultance, est exigée
- Une certification ISO 27001 est requise, si ce n'est pas le cas elle devra être obtenue dans les premiers mois de la prise de fonction
- La connaissance et l'utilisation d'un logiciel de pilotage de l'amélioration continue, de suivi de la conformité ou de gestion de projets seraient appréciées

Le CASD est un groupement d'intérêt public composé de six membres : le GENES, l'INSEE, le CNRS, HEC Paris, l'École Polytechnique et la Banque de France. Son siège social est situé sur le campus de Saclay, au 5 avenue Henry le Chatelier à Palaiseau. Il a pour objet principal d'organiser et de mettre en oeuvre des services d'accès sécurisé pour les données confidentielles à des fins non lucratives de recherche, d'étude, d'évaluation ou d'innovation, activités qualifiées de « services à la recherche », principalement publiques. Il a également pour mission de valoriser la technologie développée pour sécuriser l'accès aux données dans le secteur privé notamment.

Le CASD permet aux utilisateurs dûment habilités (chercheurs, datascientists, consultants, etc...) de travailler à distance, depuis leur lieu de travail habituel, sur des données confidentielles, produites notamment par l'INSEE et la statistique publique, avec des moyens de calcul puissants et dans le plus strict respect de la législation et des règles de sécurité. Outre les données socio-économiques et de la statistique publique, le CASD met à disposition des utilisateurs habilités des sources issues du domaine de la santé. Le CASD est composé de 42 collaborateurs répartis en 3 services : le Service Project Management, le Service IT et Datascience et le Service Data Management.

Le système d'information du CASD est par conséquent caractérisé par un besoin important en matière de sécurité. A cet égard, le CASD applique une politique de sécurité forte qui s'inscrit dans le cadre de système de management en place et conformes aux référentiels ISO 27001 (SMSI), ISO 27701 (PIMS) et Hébergeur de Données de Santé (HDS). Il est également certifié conforme aux exigences du Règlement général sur la protection des données (RGPD) selon le référentiel européen Europrivacy (article 42 du RGPD), homologué au référentiel de sécurité du Système National des Données de Santé (SNDS) et conforme au code de bonnes pratiques de la statistique européenne.

Enfin, le CASD s'est engagé dans une démarche qualité, conformément à la norme ISO 9001, orientée processus. A terme, le CASD envisage l'intégration de l'ensemble de ses systèmes de management au sein d'un système de management intégré (SMI).